其他
CISA《网络安全事件和漏洞响应手册》提到的SSVC是什么?
一、 SSVC基本理念
1、 CVSS不足之处
但CVSS存在一些不足:
(1) CVSS仅把技术严重度作为基本原则,而将时间和环境作为可选因素,三者都应该是评价漏洞的主要因素;
(2) 目前缺少通过CVSS分值指导决策的相关方法,并且由于度量的不确定性和指标的设计,从数值到定性的转换较为复杂;
(3) CVSS评分算法的参数不透明,相关工作组也没有证明公式的使用,因此高CVSS分值并不代表漏洞将被普遍利用或具有公开的利用方法;
(4) CVSS基本分值是静态的,不随时间的推移而变化;
(5) 研究表明,分析者对CVSS V3评分元素的解释并不一致。
2、 SSVC目标及总括
正是考虑到这些,卡耐基梅隆大学软件工程研究所在设计新的漏洞评估体系SSVC之初就明确了目标:输出是定性的决策,而非定量的计算,输入也是定性的;可对有限数量的相关者群体提出多元化建议;过程论证是透明的;结果是可解释的。
总体而言,SSVC是漏洞管理中操作的优先级排序系统,是基于决策树模型的模块化决策系统,避免一刀切的解决方案;SSVC是漏洞管理的概念性工具,对如何做出决策、决策中应包含哪些内容、如何清楚地记录和沟通决策等均有描述;SSVC面向各类漏洞管理相关者(同时也是供应链的主要参与成员),关注存在漏洞的情况下他们的处理决策。
截止目前,SSVC已发布3个版本,分别是2019年11月的V1.0版本、2020年12月的V1.1版本,以及2021年4月的V2.0版本。
二、 SSVC具体内容
1、 SSVC定义的漏洞管理相关者
(1) 提供者
即漏洞修复方案的提供者,一般可认为是软件生产者。提供者通常会收到其产品的一个或多个版本的漏洞报告,他们需将报告信息分解为一组受该漏洞影响的产品或版本,也就是将漏洞与受影响产品进行关联,并最终为受影响产品提供修复或缓解方案。
(2) 部署者
即漏洞修复方案的部署者,一般可认为是信息系统使用者。部署者通常从提供者获得针对其部署产品的修复或缓解方案,他们必须决定是否将其部署到特定实例上。部署者漏洞管理流程的核心是数据的整理,包括产品版本部署实例清单的维护、漏洞与修复或缓解方案的对应、修复或缓解方案与产品版本的对应等。
(3) 协调者
协调者是SSVC V2.0中新增的角色,指的是漏洞协调披露(CVD)中促进协同响应过程的个人或组织机构,包括计算机安全事件响应小组(CSIRT)、对国家负责的CSIRT(如US-CERT)、产品安全事件响应小组(PSIRT)、安全研究组织、漏洞赏金和商业经纪人等。不同协调者的差异很大,对SSVC的使用方法也可能不同。协调者的工作往往与一份独立的漏洞报告相关,也可能会根据工作流程的要求重新组织报告,如合并、拆分、扩充、缩减等。
2、 各相关者的漏洞优先级决策结果
(1) 提供者漏洞优先级决策结果
SSVC以CERT/CC为例给出,包括两类:
· 关于协调的决策结果
目标是CERT/CC在收到漏洞报告时分析人员可获得这些信息,决策结果共有3种:
CERT/CC在某个时间点上往往必须决定何时或是否发布关于漏洞的信息,共有“发布”和“不发布”两种决策结果。
3、 各相关者可能的决策点
(1) 提供者和部署者决策点
· 可利用性(Exploitation)
即主动利用漏洞的证据,适用于提供者和部署者。其决策值包括:
即漏洞被利用后的技术影响力,适用于提供者和部署者。其决策值包括:
基于攻击者可以利用该漏洞的假设,对其所做的努力进行比较,从而估计攻击者的收益,适用于提供者和部署者,其决策值包括:
即对受影响系统的安全(safety)危害,如身体健康、经济、社会、情感和心理健康等方面。其理念是相关者应知道供应链下游的直接消费者和自己软件的普遍用法,并应考虑对系统操作员和对他们所提供软件的用户的安全影响。其决策值包括:
提供者必须对上面描述的广义安全影响有一个粗粒度的观点。其决策值包括:
部署者可能对广义安全影响有更细粒度的观点,将它与业务影响结合使用,以简化部署者的实现。
· 业务影响(Mission Impact)
即对组织业务基本功能(MEF)的影响,主要适用于部署者。其决策值包括:
情景安全影响和业务影响的组合,适用于部署者。其决策值包括:
即受影响系统或服务的可访问攻击面,主要适用于部署者。其决策值包括:
· CERT/CC关于协调的决策点
包括前面的“效用”和“公共安全影响”,以及5个新决策点:
包括前面的“可利用性”及两个新决策点:
- 增加的公共值(Public Value Added)
询问来自协调者的发布对更广泛的社区有多大价值,其决策值基于漏洞现有公共信息的状态:
说明提供者处理漏洞的工作状态。其决策值包括:
4、 各相关者的漏洞优先级决策树
(1) 建议的提供者决策树
该提供者决策树考虑了“可利用性”、“效用”、“技术影响”和“公共安全影响”4个决策点,组合为36条决策路径,其中决策结果为“立即”的13项、“有计划的”8项、“不定期”的13项、“推迟”的2项。
该部署者决策树考虑了“可利用性”、“系统暴露”、“效用”和“任务影响”4个决策点,组合为108条决策路径,其中决策结果为“立即”的5项、“有计划的”69项、“不定期”的23项、“推迟”的11项。
该决策树中包含CERT/CC关于协调的所有决策点,组合为52条决策路径,其中决策结果为“协调”的17项、“跟踪”的15项、“拒绝”的20项。
该决策树包含CERT/CC关于发布的所有决策点,组合为27条决策路径,其中决策结果为“发布”的13项、“不发布”的14项。
三、 未来工作及总结
作者认为,SSVC作为一种漏洞评估方法,其特点主要体现为三个“面向”:
面向供应链,面向决策结果,面向实践经验
面向供应链,相关者的角色可根据他们在供应链中执行的任务来确定,并且“安全影响”等决策点中也明确指出,相关者应考虑在供应链中对下游用户的安全责任;
面向决策结果,SSVC关注各相关者漏洞处理优先级的决策结果,更多结合定性的判定而非定量的计算,考虑的因素也更加多元;
面向实践经验,SSVC体系中的决策点、决策值等内容会根据试验测试的结果来增删调整,而非仅靠理论定义,并且后期还将引入系统的结构化访谈等方法获得经验性数据。
董国伟,虎符智库专家,奇安信集团代码安全实验室高级专家,博士,从事网络安全、软件安全、代码审计和漏洞分析相关工作近20年。